1

这几乎可以肯定是一个愚蠢的问题,但我想要安全,所以我认为它总是值得仔细检查。

只要我有适当的身份验证(在我的情况下,cookie 基于 1 个数据库到 1 个用户的基础),那么在与该文档相关的每个 GET/PUT中暴露完整的文档内容(即包括_id和)是否有任何风险?_rev

我的意思是,是否有任何可以想象的方式来提供整个文档,而不仅仅是它的核心数据可以导致更新更容易被篡改?

_rev将 暴露给客户端的唯一方法是HEAD在每个之前执行请求 [服务器端]PUT以获得最新的修订号 - 这看起来很疯狂!

4

1 回答 1

2

提供整个文档不会导致更新更容易被篡改。

如果您使用的是基于数据库的安全性,那么您就有了完美的基础。

强制读取安全的主要策略是_security对象。强制写入安全的主要策略是validate_doc_update函数。

所以我认为 _id 和 _rev 不会影响您的应用程序的安全评估。

于 2012-05-07T00:10:06.063 回答